Botnetzeskaspersky.com

ArbeitspapierForschungsgruppeSicherheitspolitikStiftungWissenschaftundPolitikDeutschesInstitutfürInternationalePolitikundSicherheitInterdisziplinreForschungsgruppeAbrüstung,RüstungskontrolleundRisikotechnologien(IFAR)InstitutfürFriedensforschungundSicherheitspolitikUniversittHamburgThomasReinhold/MatthiasSchulzeDigitaleGegenangriffeEineAnalysedertechnischenundpolitischenImplikationenvonhackbacks"FG03-APNr.
1August2017BerlinInhalt3Einleitung4Passivevs.
aktiveVerteidigung6ArgumentefürCyber-Gegenangriffe7Rettungsmissionen7Hackbacks"zurBeweissicherung8Cyber-Hygiene8Hackbacks"alsultimaratio9Gegenargumente9DasProblemderAttribution10PolitischeEskalation11Wirksamkeitvonhackbacks"12DieKostenvonCyber-Arsenalen13AuenpolitischeSignalwirkung13Hackback"-Akteure15Fazit17GlossarSWPStiftungWissenschaftundPolitikDeutschesInstitutfürInternationalePolitikundSicherheitLudwigkirchplatz3410719BerlinTelefon+493088007-0Fax+493088007-100www.
swp-berlin.
orgswp@swp-berlin.
orgSWP-ArbeitspapieresindOnline-VerffentlichungenderForschungsgruppen.
SiedurchlaufenkeinfrmlichesGutachterverfahrenwieSWP-Studie,SWP-AktuellundSWP-Zeitschriftenschau.
MatthiasSchulzeistWissenschaftlerinderForschungsgruppeSicherheitspolitikanderSWP.
ThomasReinholdistnon-residentfellowamInstitutfürFriedensforschungundSicherheitspolitikanderUniversittHamburg.
EinekürzereFormdesForschungspapiersistunterdemTitelHackingbackTechnischeundpolitischeImplikationenvondigitalenGegenschlgen"alsSWP-Aktuellerschienen.
FG03APNr.
01DigitaleGegenangriffeAugust20173EinleitungEinerderzentralenMythendesCyberspacelautet,dieOffensivehabegegenüberderDefensivedieOber-hand.
1DieserAnnahmezufolgemusseinAngreifernureineeinzigeSchwachstelleimIT-SystemseinesOpfersfinden,umaufdasganzeSystemZugriffzuhaben,whrendletzterersmtlicheSchwachstellenkennenmüsste,umseineSystemeausreichendschüt-zenzuknnen.
EinunachtsamerMitarbeiter,derdenfragwürdigenAnhangeinerphishing"Mailffnet,reichtoftmalsschonaus,umeinSystemlahmzulegen.
AlsFolgedessenwirdargumentiert,dasspassiveCy-bersicherheit,dievorallemaufFirewalls,Anti-VirensoftwareundIntrusionDetectionSystemsba-siert,offensivenCyberoperationenvonkenntnisrei-chenAkteuren,wieAdvancedPersistentThreats(APT),unterlegensei.
APT-Gruppenbetreibenenormenfi-nanziellenundtechnischenAufwandübergrereZeitrumehinweg,uminbesondersattraktiveZiele,wieetwaRegierungssysteme,einzudringenunddabeipassiveVerteidigungsmechanismenzuumgehen.
AngesichtsderpostuliertenunzureichendenpassivenVerteidigungsmglichkeitenfordernimmermehrStimmen,darunterinsbesondereMilitrs,Nachrich-tendiensteundprivateSicherheitsfirmen,eineaktive-reVerteidigungundbeziehensichdabeiaufMa-nahmen,dieCyber-AngriffeaufeigeneNetzedirektanderQuelleneutralisierensollen.
DerehemaligeDirek-torderNationalSecurityAgency(NSA),GeneralKeithAlexander,fordertebereits2012neueKompetenzenfüreineaktiveVerteidigung",diedasAussphengegnerischerNetzeausGründenderVerteidigungbeinhaltete.
2hnlichargumentiertauchderPrsidentdesBundesamtesfürVerfassungsschutz,Hans-GeorgMaaen.
ErwillneueBefugnissefürdigitaleGegen-schlgealsReaktionaufCyber-Angriffe:WirmüssenauchinderLagesein,denGegneranzugreifen,damiteraufhrt,unsweiterzuattackieren.
"3Innenminister1LynnIII,WilliamJ.
,"DefendingaNewDomain",in:ForeignAffairs,September/October2010.
https://www.
foreignaffairs.
com/articles/united-states/2010-09-01/defending-new-domain.
2Nakashima,Ellen,"WhenIsaCyberattackaMatterofDe-fense"In:WashingtonPost,27.
02.
2012.
https://www.
washingtonpost.
com/blogs/checkpoint-washington/post/active-defense-at-center-of-debate-on-cyberattacks/2012/02/27/gIQACFoKeR_blog.
html-utm_term=.
f299848fff64.
3AlsReaktionaufAttacken–VerfassungsschutzwillCyber-gegenangriffestarten",in:Spiegel-Online,10.
01.
2017.
ThomasdeMaizièreunterstütztedieseForderungimApril2017.
Erbestanddarauf,dassmanimFalleeinesCyber-Angriffsauchimstandeseinmüsse,notfallsfeindlicheServerzuzerstren".
4DerInnenministerverglichdestruktiveCyber-GegenangriffemitdemdigitalenfinalenRettungsschuss",denPolizeibehr-deninNotsituationen,d.
h.
beiGefahrfürLeibundLeben,einsetzendürfen.
AusSichtdesdeutschenVer-teidigungsministeriums(BMVg)wurdediePlanungsolcherVorhabenineinerAnhrungimVerteidi-gungsausschussüberdieRollederBundeswehrimCyberspace2016durchStaatssekretrinSudermitfolgendenWortenverneint:[esgbe]zurZeitkeinePlanungaber[esgibt]immerwiederGedankendazuwasistzulssigundwasisttechnischmglich".
5InderAnhrungverwiesFrauSuderdarauf,dasBMVghabezurAnalysediesesVerteidigungskonzeptesbe-reitseineStudieherausgegeben.
NunsollderdeutscheBundessicherheitsratbiszumHerbst2017eineerneu-teMachbarkeitsstudieerstellen,indergeprüftwerdensoll,unterwelchenBedingungeneinGegenangriffzurdigitalenSelbstverteidigungsinnvollundlegalist.
InfachlichenDebattenwerdenCyber-GegenangriffeunterverschiedenenTerminiwiehackingback",digitalselfdefense",responsivecyberdefense"oderactivedefense"seitgeraumerZeitteilskontroversdiskutiert.
MeistbeschreibendieseBegriffedenVor-gangdesEindringensinfremdeComputernetzwerke,umAngriffedurchHackerdirektanderQuelle,d.
h.
aufihreneigenenSystemenzuunterbinden,indemetwadieangreifendeHard-undSoftwarelahmgelegtodergarzerstrtwerden.
Befürworterargumentieren,dasssoimIdealfallpremptivSchadenabgewendetwerdenknnte,nochbevoroderwhrendeinCyber-Angriffstattfindet.
DerStaatwillalsobeiHackeran-griffenzurückhacken"dürfen,whrendKritikerdaraufverweisen,dassdieserVorstodasaktuellnochhttp://www.
spiegel.
de/netzwelt/netzpolitik/bundesamt-fuer-verfassungsschutz-plant-cyber-gegenangriffe-a-1129273.
html.
4Greis,Friedhelm,DigitalerFinalerRettungsschuss:Regie-rungwillbeiIT-Angriffenzurückschlagen",in:Golem.
de,24.
04.
2012.
https://www.
golem.
de/news/digitaler-finaler-rettungsschuss-regierung-will-bei-it-angriffen-zurueckschlagen-1704-127403.
html.
5DeutscherBundestag(Hg.
),DieRollederBundeswehrimCyberraum.
Verfassungs-,Vlker-undsonstigeNationaleundInternationalerechtlicheFragensowieethischeAspekteimZusammenhangmitCyberwarfareunddiehierauserwach-sendenHerausforderungenundAufgabenfürdieBundes-wehr,Berlin,22.
02.
2016.
http://www.
bundestag.
de/ausschuesse18/a12/oeffentliche_anhoerung/cyber1/405094.
FG03APNr.
01DigitaleGegenangriffeAugust20174ungelsteAttributions-Problem"vollkommenauerAchtlasse.
6ImschlimmstenFallwürdeeinCyber-Gegenangriff,sofernüberhaupteinVerursacheriden-tifiziertwerdenkann,nichtnurdessenAngriffssyste-meausschalten,sondernwahrscheinlichzustzlichauchzivileInfrastrukturunbeteiligterDrittparteien.
7DiesesArbeitspapiersolleinigederwenigerbeleuchte-tentechnischen,politischen,operativenundlegalenSchwierigkeitenvonhackbacks"diskutieren.
DieDiskussionumdieVor-undNachteilevonCyber-GegenangriffenentspanntsichanhandderfolgendenDimensionen:SolltemanoffensivgegenCyber-Angriffevorgehen(normativeDimension)WiewürdesolcheinGegenschlagtechnischundoperativausse-hen(operativeDimension)WaswrendenkbareFol-gensolcherGegenschlge,etwaimHinblickaufKon-flikteskalationWelcheAkteurekommenüberhauptfürsolcheGegenschlgeinFragePassivevs.
aktiveVerteidigungBevordieseFragenadressiertwerdenknnen,isteszunchstsinnvoll,dieverschiedenenTerminizube-stimmen,dieinderDebattehufigvermischtwerden.
EinArbeitspapierdesUSDepartmentofHomelandSecurityweistdaraufhin,dassCyber-AngriffundCy-ber-VerteidigungnichtineinemdualistischenVer-hltniszueinanderstehen,sondernPraktikenumfas-sen,diesichaufeinemSpektrumbewegenundnichtnurtechnischerNatursind.
8AmuerstenEndedesSpektrumsumfasstCyber-VerteidigungdiepassiveVerteidigung,d.
h.
traditionelleCyber-Security-ToolswiedenEinsatzvonFirewalls,Anti-Viren-Systemen,Intru-sionDetectionSystems,RechtemanagementundZu-griffskontrollen.
AuchdaskurzfristigeSperrenvonbestimmtenIP-Adressbereichen,vondeneneineDis-6AttributionbeschreibtdenVorgang,einemAkteureineHandlungzuweisenzuknnen.
AufgrundtechnischerGege-benheitenistdiesimInternetbesondersschwierig,daIdenti-tteneinfachgeflschtwerdenknnen.
Mehrdazu:Clark,DavidD.
;Landau,Susan,"UntanglingAttribution",in:Har-vardNationalSecurityJournal,2,2011.
7Herpig,Sven,Cyberangriffe.
ZurückhackenistkeineL-sung",in:ZeitOnline,21.
04.
2017.
http://www.
zeit.
de/digital/internet/2017-04/cyberangriffe-bundesregierung-hackback-gegenangriff.
8FernerweisenmehrereAutorendaraufhin,dassdieOffen-sivekeinesfallsimmerdieOberhandimCyberspacehabe:Singer,P.
W.
;Friedman,A.
,"CultoftheCyberOffensive.
WhyBeliefinFirstStrakeAd-vantageIsMisguidedTodayasItWasin1914",in:ForeignPolicy,15.
01.
2014.
http://foreignpolicy.
com/2014/01/15/cult-of-the-cyber-offensive/.
tributedDenialofService(DDoS)-Attackekommt,oderdieautomatische,dynamischeAufstockungverfügba-rerNetzwerk-Bandbreitensindinsofernpassiv,alssiesichaufdeneigenenPerimeter,alsodaseigeneNetz-werkbeschrnken.
Aberauchawarenessraising",Cyber-Resilienz"9,einzentralesSoftware-undPatch-ManagementundPersonalschulungengehrenzudenpassivenVerteidigungswerkzeugen,welchedieSi-cherheitvonIT-Systemenerhhensollen.
AmanderenEndedesSpektrumsfindensichPrak-tiken,diesichklaralsoffensiveCyber-Angriffedefinierenlassen.
DiesenPraktikenistgemein,dasssiedaraufabzielen,unberechtigtineinfremdesZielsystemein-zudringen(penetration")unddortbestimmteEffekte(payload")auszulsen,diejenachMotivationderAngreiferundKomplexittderOperationdivergieren.
GngigeMotivesindSabotagevonHard-oderSoftwaredesZielsystemsmittelsMalware(wiebeispielsweisebeimsogenanntenStuxnet-Angriff10),dasExfiltrierenvonsensitivenInformationenauswirtschaftlichen(Cyber-Kriminalitt)oderpolitischenGründen(staatli-cheSpionage)undschlielichdieManipulationvonInformationen(InformationskriegundTuschung).
Statistischbetrachtet,fallendiemeistenCyber-AngriffeindieKategorienCyber-KriminalittundWirtschaftsspionage.
11Hacktivismus",d.
h.
dasLahm-legenoderBeschmieren(defacement")politischerWebsitesoderDDoS-Angriffe(wiebspw.
2007inEst-land12)sindebensoweitverbreitet.
DieKomplexittdieserOperationenistinallerRegelehergering,dasiekaumdomnenspezifischesWissenüberdasZielsys-tembentigenodersichimSinnevondigitalem9ImGegensatzzummilitrischenBegriffderVerteidigungorientiertsichCyber-ResilienzanderBiologie,konkretdemVerhaltendesImmunsystemsbeiVirus-Erkrankungen.
Ge-meintsindManahmen,dieergriffenwerdenknnen,wenneinAngreiferbereitsimSystemistundSchadenanrichtet.
DazugehrenredundanteSysteme,diebeiAusfallsofortein-springenunddenSchadenbegrenzen,wiezumBeispieldasEinspielenvonBackups,umErpressungstrojanernutzloszumachen.
Mehrdazu:Singer,P.
W.
;Friedman,A.
,CybersecurityandCyberwar:WhatEveryoneNeedstoKnow(1sted.
),NewYork:OxfordUniversityPress,2014,S.
169-173.
10FaktensammlungStuxnet",in:Cyberpeace.
org,2017.
https://cyber-peace.
org/cyberpeace-cyberwar/relevante-cybervorfalle/stuxnet/.
11Passeri,Paolo,"February2017CyberAttackStatistics",in:Hackmageddon,February2017.
http://www.
hackmageddon.
com/2017/03/20/february-2017-cyber-attacks-statistics/.
12FaktensammlungEstland",in:Cyberpeace.
org,2017.
https://cyber-peace.
org/cyberpeace-cyberwar/relevante-cybervorfalle/cyberattacke-auf-estland/.
FG03APNr.
01DigitaleGegenangriffeAugust20175Vandalismus"gegeneinbeliebiges,mitSicherheitslü-ckenbehaftetesIT-Systemrichten.
DestruktiveAngrif-feeinesstaatlichenAkteurs(Cyber-Warfare")passie-renhingegen–soweitdiesffentlichbekanntwird–sehrselten.
Dasliegtdaran,dassdieKomplexittdie-serVorgehensweiseimGegensatzzumebengenann-tenHacktivismus"inallerRegelenormhochist,weilsiesichgegenspezifischeZielerichtet,derenSchw-chenundZugriffspunkteanalysiertwerdenmüssen,umeinenverdecktenZugriffaufzubauenunddiesenüberlngereZeithinwegaufrechtzuerhalten.
Derarti-geOperationensindgemeinhinnurmitnachrichten-dienstlicherUnterstützungvonstaatlichenoderstaatsnahenAkteurenundmithohenfinanziellenRessourcendurchführbar.
13Vonhackback"sprichtman,wennsolcheoffensivenCyber-AngriffezurBe-kmpfungvonvorausgegangenenCyber-Angriffeneingesetztwerden.
DasNATOCooperativeCyberDe-fenceCentreofExcellenceinTallinndefiniertineinerStudiedieseresponsivenFormenvonVerteidigungastheprotectionofadesignatedCommunicationsandInformationSystem(CIS)againstanongoingcyberat-tackbyemployingmeasuresdirectedagainsttheCISfromwhichthecyberattackoriginates,oragainstthird-partyCISwhichareinvolved.
"14BevormanaberzudiesenMittelngreift,gibtesnocheineganzeReihevonManahmen,diesichau-erhalbdeseigenenPerimetersundsomitabseitsvonpassiverVerteidigungbewegen,abernichtnotwendi-gerweisealsoffensiverCyber-Gegenangriffzuwertensind.
DieseManahmenwerdenaktiveVerteidigunggenannt.
DasSANS-InstitutfürCyber-Sicherheitbe-schreibtaktiveVerteidigungals:theprocessofana-lystsmonitoringfor,respondingto,learningfrom,andapplyingtheirknowledgetothreatsinternaltothenetwork.
"15EinigedieserOperationensindrecht-lich,politischundtechnischunproblematisch(lowrisk"),whrendandereManahmenalshighrisk"eingestuftwerden,dasieimlegalenGraubereichope-rieren.
1613Lindsay,J.
R.
,"StuxnetandtheLimitsofCyberWarfare",in:SecurityStudies22,2013,S.
389.
14Minárik,T.
;Stinissen,J.
;Brangetto,P.
,"FromActiveCyberDefencetoResponsiveCyberDefence:AWayforStatestoDe-fendThemselves–LegalImplications",in:NATOLegalGazette35,2014.
15Copper,P.
,"CognitiveActiveCyberDefense:FindingValueThroughHackingHumanNature",in:JLCW,Volume5,Win-ter2017,Issue2,S.
79.
16.
"IntotheGrayZone.
ThePrivateSectorandActiveDefenseAgainstCyberThreats",in:CenterforCyber&HomelandSecurity,PrpjectReport,TheGeorgeWashingtonUniversity,OctoberZudenwenigerproblematischenManahmenge-hrtz.
B.
derInformationsaustauschzwischenCom-puterIncident/EmergencyResponseTeams"(CERT)undbetroffenenAkteurenübergngigeSchwachstel-lenundAngriffsvektoren.
Verteidigerknnenaberauchsogenanntehoneypots"odersandboxes"ein-setzen,dieeinemAngreifervorgaukeln,einZielsystemvonInteressezusein.
DieseManahmendienendazu,einenAngreiferinsitu,alsowhrenderbereitsimeigenenNetzwerkist,dabeizubeobachten,wieerineinsimuliertesSystemeindringt,umdabeiInformati-onenübersein/ihrVorgehenzuerlangen.
Dabeikn-nenoftwichtigeInformationenübereingesetzteMal-ware,technischeInfrastrukturunddasKnow-howdesAngreifersgewonnenwerden.
Sogenanntehunterteams"knnendieseInformationennutzen,umdenAngreiferzurückzuverfolgenundummehrüberseineInfrastrukturfürCyber-Angriffe(etwaCommand&ControloderC2-ServerfürBotnetsoderMalware)zulernen.
Hunterteams"knnenz.
B.
beacons"infürdenAngreiferinteressanteDokumenteimplantieren,dienachgelungenerExfiltrationihrenStandortandieTeamssenden,dieIP-AdressedesAngriffs-Serversver-ratenundsomiteinengewissenGradanAttributionerlauben.
InihreraggressiverenFormknnenbea-cons"selbstalsspyware"fungieren,umTelemetrie-DatenüberdasSystemdesAngreiferszusammeln.
DasAussphengegnerischerNetzwerkedurchspyware"erfordertdabeihufigselbstdieweiterepenetration",alsodasHackendesZielsystems.
Oft-malsmussdafürspeziellentwickelteSchadsoftwareeingesetztwerden,dieSicherheitslückenimZielsys-temausnutzt.
DieseFormvonaktiverVerteidigungbedeutet,dassmanheimlichIT-SystemederAngreiferinfiziert,denNetzwerkverkehrgegnerischerNetzemitliestundanschlieendanalysiert,wasderGegnervorOrttut.
DieGrenzezwischenSelbstverteidigungundaktiverSpionageisthiersehrdünnunddieAk-teurebewegensichrechtlichineinemGraubereich,dainjedemFallfremdeIT-Systememanipuliert(d.
h.
dieIntegrittdieserSystemeverletzt)undunterUm-stndendieterritorialeIntegrittvonNationenver-letztwerdenknnen.
2016,S.
10.
FG03APNr.
01DigitaleGegenangriffeAugust20176PassiveVerteidigung(lowrisk)Awareness&PersonalschulungenFirewalls,IntrusionDetection,Patch-ManagementInformationsaustauschSandboxenundHnigtpfeTuschungundfalscheZieleHunterTeamsBeaconsPerimetergrenzeSpywareBeaconsNachrichtendienstlicheErmittlungen(in-telligence)BotnetzTakedownsPolitischeSanktionenHack-Back(EindringeninfremdeSysteme)Rettungsmissionen&DatenlschungComputer-Netzwerk-ExploitationundberwachungfremderNetzeDenialofServiceOffensiveCyber-Angriffe(highrisk)17EsgibtabernochweitereFormenaktiverVerteidi-gung,dienichtnotwendigerweiseeinemCyber-Gegen-gangriffgleichkommen,abernichtminderumstrittensind.
18DazugehrtdiePraxisderbotnettakedowns".
BotnetzesindNetzwerkevonmitSchadsoftwareinfi-ziertenComputernodersogenanntenEmbeddedSys-temswieDSL-RouternsowieGertendesInternetofThings"(IoT),diedurchSteuerungsserverdazuge-zwungenwerdenenmassebestimmteAktionenauszu-führen.
OftmalshandeltessichdabeiumprivateIT-GertederenBesitzergarnichtwissen,dasssieTeileinesBotnetzessind.
19Botnet-Infrastrukturenwerden17EigeneDarstellungbasierendauf:"IntotheGrayZone.
ThePrivateSectorandActiveDefenseAgainstCyberThreats",wieFN16.
18Ebenfallsseihiererwhnt,dassesauchnicht-technischeMittelderCyber-Verteidigunggibt.
Dazuknnendiplomati-scheManahmenzhlen,Wirtschaftssanktionen,Mechanis-meninternationalerStrafverfolgung(Interpol),Handelsbarri-erenfürUnternehmen,dieCyber-KriminelleunterstützenoderbilateraleVertrgewiez.
B.
zwischendenUSAundChi-na.
192005wurdeeinFallbekannt,indemdasComputer-SystemeinesKrankenhausesinSeattleTeileinesBotnetzeswar.
ZudemBotnetzgehrtenaberauchSchulen,Universit-tenundFirmen:"ManGets3Yearsfor'Botnet'AttackonHospital,SchoolDistrict,MilitaryInstallations",TheSidneyMorningHerald,August26,2006.
http://www.
smh.
com.
au/news/Technology/Man-gets-3-years-for-botnet-attack-on-hospital-school-districtmilitary-installa-tions/2006/08/26/1156012780632.
html.
füreineganzeReihevonCyber-Operationengenutzt,füreinfache,abermassiveDDoS-AngriffeaufWebsites,fürdasautomatisierteVerteilenvonSpam,Malwareoderphishingmails",aberauchvonNachrichten-diensten,dieihreAktivittenverschleiernwollen.
20DasHerunterfahrenvonBotnetzenisttechnischundrechtlichenormkompliziert,dadieSteuerungsserveroftmalsüberverschiedeneLndergrenzenhinwegverteiltsindundbisweilenkomplettdezentraloperie-ren,sodassdieAttributionderUrheberebensokost-spieligwiezeitintensivist.
Das2016vonEuropolundverschiedeneninternationalenBehrdenabgeschalte-teAvalanche-Botnetzoperiertebereitsseit2009,konn-teabererst2014identifiziertwerden,dadieC2-ServerüberkomplexeTarnmechanismenverfügten.
AusdiesemGrundmusstenineinergroangelegtenin-ternationalenKooperationdieServerinverschiedenenLndernvonderenHosting-AnbieternsimultanperrichterlicherAnordnungabgeschaltetwerden.
EinHackingderServerwardazunichterforderlich.
DerFallAvalanchezeigt,dassdieserProzesslangwierig,diffizilundvonungewissemErfolgist.
21Oftmalsver-weigernLnderzudemdieKooperationbeimAbschal-tenvonBotnetzenaufihremTerritorium,sodassvondiesenweiterhinungehindertCyber-Angriffeausge-henknnen.
AufgrunddieserProblematikfordernNachrichtendienstedieBefugniszumhackingback",umetwaBotnetzeausderFernezuneutralisieren.
ImFolgendensollendementsprechendumArgumentedargelegtwerden,diefürdashackingback"spre-chen.
ArgumentefürCyber-GegenangriffeCyber-Angriffewerdenimmerkomplexerundviel-schichtigerundinsbesonderedassocialengineering",alsodasIdentifizierenmenschlicherAngriffspunktewirdfürumfangreicheCyber-Operationenimmerzentraler.
22DabeiwerdenZieleteilsnachrichten-20Reid,Kevin,"GetBotnetsBeforeTheyGetUs",in:TheCipherBrief,April30,2017.
https://www.
thecipherbrief.
com/article/tech/get-botnets-they-get-us-1092.
21Jolmes,Johannes;Mundt,Anna,RaubzugimNetz–WieVerbrauchergeplündertwerden",in:ARD,DasErste,Panorama,Sendungvom20.
04.
2017.
http://daserste.
ndr.
de/panorama/archiv/2017/Raubzug-im-Netz-wie-Verbraucher-gepluendert-werden,botnetz112.
html.
22Exemplarischseiaufdenaktuellen2017VerizonDataBreachInvestigationsReport"verwiesen,derattestiert,dassvonallenimVorjahrgemeldetenundvonVerizonanalysier-tenHacking-Vorfllen"81%ofhacking-relatedbreachesle-FG03APNr.
01DigitaleGegenangriffeAugust20177dienstlichausgespht,uminterneInformationenüberOrganisationsstrukturen,KommunikationsablufeundMitarbeiterzuerlangen.
DieseInformationenwerdengenutzt,uminprofessionellen,personalisier-tenE-MailseinegenauaufdasZielmageschneiderteSchadsoftwarezuverteilenoderdiePasswrtervonMitarbeiternzustehlen.
Befürworterdeshackingback"argumentieren,dasssichsolcheAdvancedPer-sistentThreats(APT)inderRegelnichtvonreinpassi-venSystemenaufhaltenlassen,dadieseauchoftmalsunbekannteSchwachstellen(Zeroday"bzw.
0-day")inderPerimeter-VerteidigungausnutzenumeinSys-temlahmzulegen.
BeipersistentenAngriffenseiesnureineFragederZeit,bisderGegnerinseigeneNetzwerkeindringtundmitderDaten-ExfiltrationauffremdeServerbeginnt.
DiejüngstenHacking-AngriffeaufdasUSDemocraticNationalCommittee2016unddenBundestag2015,dievermutlichbeideaufdieselberussischeAPT-28Hackergruppezurückzuführensind,zeigeneindrucksvolldieSchwachstellenpassiverVer-teidigung.
23AusdiesemGrundscheinteszunchstsinnvoll,sichdesProblemsvonCyber-Angriffenperhackingback"entledigenzuwollen.
Dieberlegungist,dassCyber-Angriffeaufhren,wennderUr-sprungsrechnerdesHackersbzw.
dieC2-Infrastruktur,diefürdieHacksbenutztwird,lahmgelegtwird.
In-nenministerThomasdeMaizièrescheintdiesesSzena-rioimKopfzuhaben,wennerdieRückverfolgungundgegebenenfallsdasUnschdlichmacheneinesServersausdemAusland"fordert.
24RettungsmissionenEinweitererGrundfürhackingback"wirdinderLiteraturalsrescuemissions",alsoRettungsmissio-nen,bezeichnet.
Hans-GeorgMaaenargumentiert:WirhabeneinInteressedaran,dassAngreiferdieDatenverlieren,diesiegestohlenhaben.
ManmusssolcheDateneventuellzumSchutzdesOpferszerst-ren.
"25InderTheoriesollalsoderAngreiferzurück-veragedeitherstolenand/orweakpasswords[and]43%weresocialattacks",Verizon,2017DataBreachInvestigationsReport,2017,S.
3.
23Beuth,Patrick;Biermann,Kai;Klingst;Martin;Stark,Hol-ger,Bundestags-Hack:MerkelundderschickeBr",in:ZeitOnline,2017,http://www.
zeit.
de/2017/20/cyberangriff-bundestag-fancy-bear-angela-merkel-hacker-russland.
24Greis,Friedhelm,DigitalerFinalerRettungsschuss:Re-gierungwillbeiIT-Angriffenzurückschlagen",in:Golem.
de,20.
04.
2017.
https://www.
golem.
de/news/digitaler-finaler-rettungsschuss-regierung-will-bei-it-angriffen-zurueckschlagen-1704-127403.
html.
25Balser,Markus,KampfgegenHacker.
VerfassungsschutzverfolgtwerdenundimAnschlussdiegestohlenenInformationenpereingeschleusterMalwaregelschtunddasDateisystemdesUrsprungsrechnerszerstrtwerden.
Hackbacks"zurBeweissicherungInsbesondereamerikanischeStrafverfolgungsbehr-denundNachrichtendiensteführeneinweiteresAr-gumentfürhackbacks"insFeld,welchesinderdeut-schenDebattebishernichtaufgetauchtist.
DasFBImachte2015SchlagzeilenalseszentraleServerdesKinderpornografie-RingsPlaypen"hackte.
26StattdieServerzuzerstrenundsomitdenRingunschdlichzumachen,manipuliertenFBI-HackerdenServerso,dassdiesereingehendeVerbindungenprotokollierte–eineTechnik,diesichwateringhole"nennt.
Compu-tern,diesichmitdemPlaypen"-Serververbindenwollten,wurdeeineMalwareeingeschleust,dieeinebisdatounbekannteSicherheitslückeimTor-BrowserausnutzteundsomitdasDechiffrierenvonanonymi-siertenVerbindungenerlaubte.
DasFBIkontrolliertedenServer13Tagelangunddechiffrierteüber8000IP-undMAC-Adressenin120Lndern.
27EsfolgtenzahlreicheHausdurchsuchungenundteilsinternatio-naleStrafprozesse.
DerFallwardeswegenkontrovers,weildasFBItausende,teilsinternationaleRechnermiteinemeinzelnenDurchsuchungsbefehlhackteunddenServernichtsofortabschaltete,somitalsodieDistributionillegalerMaterialientolerierte.
RechtlichoperiertedasFBIineinemGraubereich,bisdiesoge-nannteRule41"imDezember2016angepasstunddemFBIdasHackenauerhalbderUS-JurisdiktionperRichterbeschlusserlaubtwurde.
28DasBeispielillus-triert,dasseseinberechtigtesInteresseanhackbacks"zurInformationsgewinnunggibt.
Ebensoistvorstellbar,dassBehrdendieC2-InfrastrukturvonCyber-Angreifernhacken,umwichtigeInformationenwillangreifen",in:Süddeutscheonline,27.
04.
2017.
http://www.
sueddeutsche.
de/wirtschaft/kampf-gegen-hacker-verfassungsschutz-will-angreifen-1.
3481446.
26Cox,Joseph,"TheFBIHackedOver8,000ComputersIn120CountriesBasedonOneWarrant",in:Motherboard,November23,2016.
https://motherboard.
vice.
com/en_us/article/fbi-hacked-over-8000-computers-in-120-countries-based-on-one-warrant.
27MAC-AdressensindIdentifikationsnummernfürNetzwerk-Hardware.
28Hennessy,Susan,"Rule41:ResolvingProceduralDebatestoFacetheToughQuestionsonGovernmentHacking",in:Lawfare,January12,2016.
https://www.
lawfareblog.
com/rule-41-resolving-procedural-debates-face-tough-questions-government-hacking.
FG03APNr.
01DigitaleGegenangriffeAugust20178zugewinnenunddieimCyberspaceauerordentlichschwierigeAttributionvonUrhebernzuerlauben.
29EinFallbeispielhierfürwredieAttributiondesCyber-AngriffsaufSonyPicturesimJahr2014,dieangeblichnurdeswegengelang,weildieNSAdieOperationinNordkoreasNetzwerkeninsitubeobachtete.
30ImSinnederNSAbedeutetaktiveVerteidigungSpionageinfremdenComputernetzen.
DieBeispielezeigenaberauch,dassdasZerstrendieserServerundderdaraufgespeichertenEvidenzjenachFallunsinnigwre,daunterUmstndenpotenziellwichtigeintelligence"vernichtetwerdenknnte.
Ausnachrichtendienstli-cherSichtistdeswegendiecomputernetworkexploi-tation",alsodasAussphenfremderNetze,gegenüberderdestruktivencomputernetworkattack"fastim-merzubevorzugen.
Cyber-HygienePrivateFirmen,dieinsbesondereimBereichbotnettakedowns"ttigsind,argumentierenzudemmitderglobalenCyber-Hygiene".
StatteinermilitrischenSichtweisewerdenhierdasAusschaltenvonBotnetzenunddasReinigenbefallenerBotsmitManahmenzurffentlichenGesundheitimCyberspaceverglichen.
hnlichwieeinePandemiedurchZwangsimpfungenbekmpftwerdenkann,sollenSicherheitsaktualisie-rungenvonSoftware(sogenanntenbugfixes"undpatches")notfallsperZwangaufBot-Rechnerge-brachtwerden.
31ImKlartextwürdedasbedeuten,einenRechnerperSicherheitslückezuhackenumeinenPatcheinzuspielen,derdieseoderanderenSi-cherheitslückenschliet.
DaBotnetzemannigfaltigundfüreineVielzahlvonCyber-Security-Problemenverantwortlichsind,überwiegehierdashhereGutderffentlichenGesundheit"gegenüberdenPri-vatsphre-InteressenderComputerbesitzerbefallenerSysteme.
EinhnlichesPhnomenkonntejüngstbeo-bachtetewerden,alseinebishernichtnheridentifi-29Rid,T.
;Buchanan,B.
,"AttributingCyberAttacks",in:Jour-nalofStrategicStudies,2014,38(1-2),4-37,S.
5.
30DieEvidenzfürdieseHypotheseistallerdingsnichteindeutig:Sanger,David;Fackler,Martin,"N.
S.
A.
BreachedNorthKoreanNetworksBeforeSonyAttack,OfficialsSay",January18,2015.
https://www.
nytimes.
com/2015/01/19/world/asia/nsa-tapped-into-north-korean-networks-before-sony-attack-officials-say.
html_r=0.
https://www.
nytimes.
com/2015/01/19/world/asia/nsa-tapped-into-north-korean-networks-before-sony-attack-officials-say.
html_r=0.
31Lin,Patrick,"EthicsofHackingBack.
SixArgumentsfromArmedConflicttoZombies",Ethics+EmergingSciencesGroup,2016,S.
19.
zierteMalwaremitNamenBrickerbot"unsichereInternetofThings-Gertehackteundanschlieendlahmlegte.
VieledieserIoT-GertewarenimJahr2016TeildesMirai"-Botnetzes,welchesverschiedeneZielemitmassivenDDoS-Anfragenüberhufthatte.
32Hackbacks"alsultimaratioHufigargumentierenBefürwortervonhackbacks"mitderenNotwendigkeitinKrisensituationen.
WennalsoeinegroangelegteCyber-OperationkritischeInfrastrukturenwieElektrizittswerkelahmlege,müssemanalsultimaratio,wennalleanderenpassivenundaktivenMittelversagen,oderaufgrundvonZeit-drucknichtdurchführbarsind,imNotfalldenSte-ckerbeimAngreiferziehen"knnen.
InnenministerdeMaizièreargumentiertmitderAnalogie,dassauchPolizistenbeiGefahrimVerzugihreDienstwaffebe-nutzendürfenumAngreiferzuverwunden.
33AuchausSichtmilitrischerEntscheidungstrgersprichteinigesfürdigitaleSelbstverteidigung.
StattimVerteidigungsfallbeieinemkonventionellenAn-griffmitgleichenMittelnzureagieren,knneeinCyber-GegenangriffinderTheoriez.
B.
dieSteuerungs-systemevonLangstreckenraketenlahmlegenoderdieKommunikationdesGegnersstren.
34EbensomüssemanbeiAngriffenüberdenCyberspace,vondeneneineunmittelbareGefhrdungderSicherheitDeutschlandsausgeht,mitadquatenMittelnreagie-renunddenAngriffabwendenknnen.
SolcheindigitalerGegenschlaghttedenVorteil,dasserver-mutlichvlkerrechtlichgedecktwre(UNChartaArt.
51)undimbestenFallderAngreiferunschdlichge-machtwird,ohnedassdasLebeneigenerSoldatenunntiggefhrdetwird.
Whrendeinhackback"alsReaktionaufkonventionelleAngriffevermutlichrechtlichlegitimist,istdieReaktionaufeinendigita-lenAngriffwenigereindeutig.
GemdemTallinn-ManualkommteshierinersterLinieaufdieArtderSchadenswirkungdeserstenAngriffesan.
ObmanaufkonventionelleAngriffedigitalreagiertoderaufdigi-taleAngriffemitphysischenGegenschlgenreagierensollte,istinderLiteraturumstritten.
32Thomson,Iain,"ForgetMirai–BrickerbotMalwareWillKillYourCrapIoTDevices",in:theRegister,August4,2017.
https://www.
theregister.
co.
uk/2017/04/08/brickerbot_malware_kills_iot_devices/.
33Greis,Friedhelm,DigitalerFinalerRettungsschuss:Regie-rungwillbeiIT-Angriffenzurückschlagen",wieFN4.
34DiesesArgumentfindetsichbereitsbeimVordenkerdesCyber-War:Rona,ThomasP.
,"WeaponSystemsandInforma-tionWar",BoeingAerospaceCompany,July1976.
FG03APNr.
01DigitaleGegenangriffeAugust20179DieseBeispielezeigen,dassaktiveVerteidigungjenachAuslegungverschiedeneTtigkeitenumfasst,dienichtmithackback"synonymseinmüssen.
Fernerzeigtsich,dasshierjenachFall,Akteurundeinge-setztenMittelnunterschiedenwerdenmussunddassesoffenbarlegitimeEinsatzzweckevonhackbacks"gibt.
WiekannmandieseArgumenteeinordnenundbewertenGegenargumenteAustechnischerSichtberührtjederunbefugteZugriffaufeinIT-SystemdieIntegritt,AuthentizittundunterUmstndenauchdieVerfügbarkeitdiesesSys-tems.
Diesgiltumsomehr,wennderZugriffverdeckterfolgenmussundzudiesemZweckSicherungsma-nahmensowiedasprotokollierenvonZugriffenun-terbundenoderSpureninLog-Datenentferntwerdenmüssen.
VordiesemHintergrundwrebereitsdergeheimeZugrifffürdienotwendigeIT-Forensik,umbeiGegenangriffenüberdiebeteiligten,zwischenge-schaltenenIT-SystemehindurchdasSystemdesAn-greiferszuidentifizieren,eineGefhrdungdieserSysteme.
Hackbacks"gefhrdenalsodieSicherheitderZielsysteme,wasjenachEinsatzzweckdesGertsunterschiedlicheImplikationenhabenkann.
DasProblemwirdinsbesonderedadurcherschwert,dassmanhufiggarnichtsogenauwei,werderAngrei-ferist(undobmandasrichtigeZielsystemerwischthatodernureinenweiterenHubunbeteiligterDrit-ter).
DasProblemderAttributionEinzentralesArgumentderKritikervondigitalenGegenangriffenberuhtaufdemAttributions-Problem,welchesbesagt,dassesaufgrundstrukturellerMerk-maledesInternetsschwierigist,Cyber-AngriffeeinemUrheberzuzuschreiben.
35IP-Adressensindeinfachzuflschen,Identitteneinfachzuranonymisieren(etwadurchbesagtesTOR-Netzwerk)undOperationenunterfalscherFlaggesinddenkbar.
AusGründenderVer-schleierungfindenCyber-AngriffeinderRegelüberoftvielfachhintereinandergereihtegekaperteDritt-rechner/Botsstatt.
36DasZieldesAngriffssiehtalsonurdieIP-AdressedesunbeteiligtenDritten,nichtaberdiedesUrhebers.
Selbstwennesgelingensollte,35Rid,Thomas;Buchanan,Ben,"AttributingCyberAttacks",in:JournalofStrategicStudies38(2014):4–37,S.
5.
36Clark,DavidD.
;Landau,Susan,"TheProblemIsn'tAttrib-ution:It'sMulti-StageAttacks",ProceedingsoftheRe-ArchitectingtheInternetWorkshop,ArticleNo.
11,2010.
dieUrheber-IP-Adressezuermitteln(technischeAttri-bution)istdamitnichteindeutigzuklren,wervordemComputersa(sozialeAttribution),obdiesesIT-SystemgezieltundausschlielichfürdieCyber-Attackeverwendetwurde,oderobdasGertnochfürandere,u.
U.
relevanteAufgaben,etwaineinemKran-kenhaus,zustndigist.
EineAnalogiewredieBom-bardierungvonzivilenWohngebuden,indenensichauchmilitrischeKombattantenbefinden.
DieWahr-scheinlichkeitdasfalscheZielzutreffenerhhtsichinsbesondereindenzuvorerwhntenNotstandssitua-tionen,indenennichtvielZeitfürdenAttributions-prozessbleibt.
RidundBuchananstellenfolgendeFaustregelauf:JemehrZeitmanfürNetzwerk-Foren-sikhat,destogenauerwirddieAttribution,d.
h.
destosichererkannmansagen,werderUrheberist.
37DiesistaberkeineGarantie.
VieleCyber-Angriffesindauchbisheutenichtzweifelsfreiattribuiert.
Smokinggun"-Beweisefehlenoftmals,sodasslediglichIndi-zienkettenfürodergegenbestimmteAngreiferspre-chen.
Umgekehrtgilt:jewenigerZeitfürdieAttributionzurVerfügungsteht,destogrerdieWahrschein-lichkeit,beieinemGegenschlagdasfalscheZielzutreffen.
D.
h.
dassgeradeinzeitkritischenKrisenreak-tionenwieeinemgroangelegten,strategischenCy-ber-AngriffdiezielgenaueAttributionwahrscheinlichnichtrechtzeitiggelingenwird.
DazukommtdasProblem,dassnichtalleCyber-AngriffeunmittelbarsichtbareEffekteproduzieren.
EinfacheDDoS-Attackensindrelativlaut"undsicht-bar,knnenabermiteinfachenMittelnwiederSper-rungvonIP-Addressendeflektiertwerden.
DestruktiveCyber-AngriffegeheninderRegeleherleise"undunsichtbarvonstatten,werdenalsooftmalsgarnichtalssolcheerkannt.
ObeseinBug,einUnfallodereinCyber-Angriffist,dereinSystemlahmlegt,istoftnichtunmittelbarersichtlich.
StromausflledurchDefekteoderUnflle(umgestürzteBume)sindweitauswahr-scheinlicheralsCyber-Angriffe.
38DiemeistenCyber-Angriffewerdendeshalberstnachdurchschnittlich150-200Tagenalssolcheidentifiziert.
Erstdannbe-ginntderProzessderAttributionzueinemVerursa-cher.
39BisalsotatschlicheinZielfüreinenGegenan-37Rid,Thomas;BenBuchanan,wieFN35,hier:S.
32.
38Lewis,JamesA.
,"AssessingtheRiskofCyberTerrorism,CyberWarandOtherCyberThreats",in:CenterforStrategic&InternationalStudies,2002,S.
5.
39DavisII,JohnS.
etal.
,"StatelessAttribution:TowardIn-ternationalAccountabilityinCyberspace",RandCorporation,2017,S.
24.
FG03APNr.
01DigitaleGegenangriffeAugust201710griffbestimmtist,knnenjenachFallTage,MonateodergarJahrevergehen.
40DasBeispieldesbisherde-struktivstenCyber-AngriffsStuxnetisthierillustrativ.
IranischeAtomwissenschaftlerhieltendenAusfallderZentrifugenzunchstfüreinenUnfallundnichtfüreinenCyber-Angriff,dadieSystemenichtmitdemInternetverbundenwaren.
ErstnachWochenverdich-tetensichdieHinweiseaufeinenAngriff.
41DieAttri-butionvonStuxnetistauchbisheutenichtabschlie-endgeklrt,auchwenngemeinhinIsraelunddieUSAdafürverantwortlichgemachtwerden.
DieselangeZeitspanneistimSinnedesVlkerrechtsprob-lematisch.
DasRechtaufSelbstverteidigungbeide-struktivenAngriffennachUNChartaArt.
51erfordert,dassdieReaktionunmittelbarzuerfolgenhat.
WenneinGegenschlagabererstMonatespterstattfindet,kanndieserselbstalseigenstndigeraggressiverAktundnichtalslegitimeSelbstverteidigunginterpretiertwerden.
42PolitischeEskalationDieGefahreinerpolitischenEskalationbeifalscherAttributionwirdalsweitereszentralesGegenargu-mentinsFeldgeführt.
Manstellesichvor,SüdkoreazerstreflschlicheinenComputerinNordkoreamiteinerCyber-Gegenattackeobwohlz.
B.
RusslandderersteUrheberwarumdiepolitischenSpannungenaufderkoreanischenHalbinselweiterzuverschrfen.
ImschlimmstenFallknnteNordkoreamitkonventionel-lenWaffenreagieren.
ImmermehrCyber-Sicher-heitsstrategienargumentieren,dassaufCyber-AngriffeauchmitphysischenWaffenreagiertwerdenkann,sodassdiesesSzenariozumindestdenkbarist.
43Soge-nanntefalseflagoperations"sindimCyberspacekeineSeltenheit.
AlsimApril2015imRahmenderhttps://www.
rand.
org/content/dam/rand/pubs/research_reports/RR2000/RR2081/RAND_RR2081.
pdf.
40EindrucksvollhierdieOperationMoonlightMazevon1998,dierussischenGruppierungenzugeschriebenwurde.
Ridetal.
konntenjüngsteinenzentralenBeweisliefern,dassaktuelleAPT-GruppenausRusslandnachwievorCode-BausteineausderMoonlightMaze-Attackeverwenden:Guerro-Saade,JuanAndres;Raiu,Costin;Moore,Daniel;Rid,Thomas,"Penquin'sMoonlitMaze.
TheDawnofNation-StateDigitalEspionage",KasperskyLab,2017.
41Barzashka,Ivanka,"AreCyber-WeaponsEffective"In:TheRUSIJournal,158(2013):48–56,S.
51-52.
42SiehedazuTallinn-Manual,welchesdasVlkerrechtaufdasInternetanwendet.
Schmitt,MichaelN.
,TallinnManualontheInternationalLawApplicabletoCyberWarfare.
Tallinn:T,2013,S.
60.
43"TheDODCyberStrategy",DepartmentofDefense,2015.
TerrorseriedessogenanntenIslamischenStaatesinFrankreichdieTV-ProgrammedesSendersTV5Mondeausfielen,bekanntesicheinbisdatounbekanntesCyber-Kalifat"zudemAngriff.
Heuteistmansichrelativsicher,dassdieserAngriffeinefalseflag"-Operationwar,dievermutlichdenrussischenHa-ckernvonAPT-28zuzuschreibensind.
44WeraberdierealenAkteurehinterAPT-28sindundobdiesewirk-lichvomKremlinstruiertwurden,konntebisheutenichteindeutignachgewiesenwerden.
DiesesBeispielzeigt,wiewichtigeinesorgfltigeForensikundAttri-butionist.
SchnellschüssesindinderRegelkontra-produktiv.
ObCyber-GegenangriffeaberzwangslufigeineEs-kalationsdynamikauslsen,istinderForschungum-stritten.
ValerianoundManesweisendaraufhin,dassEskalationsdynamiken(alsotitfortat"-Reaktionen)insbesonderezwischenStaatenauftreten,diesichbereitsinphysischenKonfliktenbefindenundingeo-grafischerNhezueinanderliegen.
45WennDeutsch-landeinenServerinJapanzerstrt,isteineEskalationodereinhackback"seitensJapansunwahrscheinli-cheralsimFalleUkraine-Russland.
Linweistdaraufhin,dasssichStaatenschonseitJahrengegenseitighackenunddassEskalationeninderTateherseltensind.
46EsgibtalsokeinendeterministischenZusam-menhangzwischenhack-backs"undpolitischenKri-sen.
VielmehrkommtesaufdengeopolitischenKon-textsowiedieIntensittdeshackbacks"an.
ObeineGegenreaktionnacheinemHackausgelstwird,hngtvomvorgefallenenSchadenab.
Cyber-Forensikistkostspielig,sodassessichoftmalsnichtlohnt,beikleineren,d.
h.
nicht-destruktivenVorfllendenAttri-butionsprozesszustarten.
ZudemmüssenAngriffeaucherstentdecktwerden,wasinsbesonderebeinachrichtendienstlichenAngriffenschwierigist.
Wiebereitsdargestellt,bemühensichdiemeistenCyber-AngriffedarumverborgenzubleibenundebenkeinensichtbarenSchadenanzurichten.
ObeinepolitischeEskalationstattfindet,hngtauchvonderArtdeshackbacks"ab.
EinStaatwirdandersaufeineKomplettüberwachungseinerNetze44Schindler,JohnR.
,"FalseFlags:TheKremlin'sHiddenCyberHand",in:Observer,18.
06.
2016.
http://observer.
com/2016/06/false-flags-the-kremlins-hidden-cyber-hand/.
45Maness,RyanC.
;Valeriano,Brandon,"TheImpactofCyberConflictonInternationalInteractions",in:ArmedForces&Soci-ety42(2016):301–23.
46Lin,Patrick,"EthicsofHackingBack.
SixArgumentsfromArmedConflicttoZombies",wieFN31,hier:S.
17-19.
FG03APNr.
01DigitaleGegenangriffeAugust201711reagieren(activedefense"imSinnederNSA)alsz.
B.
beieinembotnettakedown"aufseinemTerritorium.
Wenneinhackback"durcheinezuvorgestohleneDateimiteinembeacon"ausgelstwird,wirddersoertappteDiebvermutlichkaumffentlichprotestie-ren.
EsspieltauerdemeineRolle,welchediplomati-schenProzessedemhackback"vorausgehen.
WennderdeutscheVerfassungsschutzohnevorherigedip-lomatischeKonsultationeneinBotnetzinRusslandzerstrt,wirdsichdiesvermutlichnegativeraufdiebilateralenBeziehungenauswirken,alswennzu-nchstinbilateralenRegierungskonsultationenda-rumgebetenwurde,imbeiderseitigenEinvernehmendasBotnetzaufstrafrechtlichemWegeauszuhebeln.
Eskommtebenfallsdaraufan,obeinCyber-Gegen-angriffoffen,d.
h.
attribuierbar,oderimVerborgenenstattfindet.
47Willman,umbeimvorhergenanntenBeispielzubleiben,Russlandzuverstehengeben,dassderGegenangriffvonDeutschlandausgingunddassdieseManahmealsAntwortaufeinzuvorstattge-fundenesEreigniszuverstehenist,oderwillmandenAngriffverschleiernJenachVorgehenergebensichdarausunterschiedlicheKonsequenzen,insbesondereinBezugaufdieAbschreckungkünftigerAngriffe.
ImSinneguterDiplomatiemagdasAnkündigeneinesGegenschlagesgebotensein,gleichzeitigreduziertsiejedochdieWirksamkeitdeshackbacks".
MartinLibi-ckibeschreibtdasAbschreckungsdilemmaimCyber-spacefolgendermaen:WennichdemGegnermeinenCyber-Angriffankündige,knntedieserzunchstvoneinemBluffausgehen,sodassmeinGegenspielerei-nenBeweisdereigenenCyber-Fhigkeitensehenwill.
OffenbartmannunaberseineeigenenCyber-AngriffsfhigkeitendurcheinenCyber-Angriff,kannsichderGegnerdaraufeinstellen,wasdiewiederholteWirksamkeitdieserToolsmindert.
48Verdeckte,d.
h.
nichtattribuierbareGegenschlgeerfordernihrerseitsvielVerschleierungsaufwandundnachrichtendienst-licheKenntnisdesZielsystems,sinddaherkosten-undzeitintensiv,weshalbeinschnellesZurückschlagenauchhierdieFehler-undEntdeckungsquoteerhht.
47Perkoski,Evan;Poznansky,Michael,"AnEyeforanEye:DeterringRussianCyberIntrusions",WarontheRocks,TexasNationalSecurityNetwork,December19,2016.
https://warontherocks.
com/2016/12/an-eye-for-an-eye-deterring-russian-cyber-intrusions/.
48Libicki,MartinC.
,CyberdeterrenceandCyberwar,in:RANDCorporation,2009,S.
93-99.
Wirksamkeitvonhackbacks"InpolitischenDebattenzudigitalenGegenschlgenfehltgegenwrtigdieDiskussionrundumdieFrage,obGegenangriffealsultimaratioinNotsituationenüberhaupteffektivseinknnen.
GenerellistdieWirk-samkeitvonCyber-AngriffeneinProblem,dassichinsbesondereauchbeidestruktivenCyber-Gegen-angriffenstellt,dieeinZielsystempermanentlahmle-gensollen.
EntgegendemOffensiv-Dominanz-Mythos,dereingangserwhntwurde,kannsichderAngreiferimVorfeldeinesAngriffskeinesfallssichersein,dassseinCyber-Angriffwirkt".
49InsbesonderedestruktiveCyber-AngriffeerforderneinesehrgenaueKenntnisdesZielsundderdarineingesetztenHard-undSoft-ware.
DerAngriffmussschlielichaufdiespezielleKonfigurationdesZielsangepasstwerde.
DieserPro-zessistsowohlzeit-alsauchkostenintensiv.
StuxnetkonntenurdeshalberfolgreichiranischeUrananlagenzerstren,weillangeimVorausintensivereconnais-sance"derZielsystemebetriebenwurdeundInforma-tionenüberdieverwendetenSiemensSCADA-Systeme(undihreSicherheitslücken)erlangthat.
UnterdemCodenamenOperationOlympicGames"begannendiePlanungenwohlbereitsimJahr2005undbeinhal-tetendenNachbauunddieSimulationderspezifi-schenZentrifugen-Anlagen.
50Dazukommt,dassesverschiedeneIterationenvonStuxnetgab,wasdaraufhindeutet,dassderAngriffzunchstnichtwirkteunddaherangepasstwerdenmusste.
51DasgleicheProb-lemzeigtsichbeiCyber-Gegenangriffen,dieinNotsi-tuationen,d.
h.
mitgeringerodersogutwiekeinerzeitlichenVorbereitungdurchgeführt–sozusagenausderHüftegeschossen"–werden.
hnlichwieinRidsAttributrionstheselsstsichargumentieren:jewenigerZeiteszurVorbereitung(reconnaisance"desZiels)eineshackbacks"gibt,destogeringersindderWirkungsgradunddieZielgenauigkeit.
52DaszuvorerwhnteAvalanche-Botnet,mitseinenrotierenden,dynamischenC2zeigtdiesebenfalls.
EinCyber-AngriffaufdiesesBotnethttekeineWirkunggehabt,dadasSystembeimAusfalleinesServersdynamischeinen49Singer,P.
W.
;Friedman,A.
,"CultoftheCyberOffensive.
WhyBeliefinFirstStrakeAdvantageIsMisguidedTodayasItWasin1914",in:ForeignPolicy,15.
01.
2014.
http://foreignpolicy.
com/2014/01/15/cult-of-the-cyber-offensive/.
50Lindsay,JonR.
,"StuxnetandtheLimitsofCyberWarfare",in:SecurityStudies22(2013):365–404,S.
385.
51KasperskyBlog,"Stuxnet:VictimsZero",Kaspersky,2014.
https://blog.
kaspersky.
com/stuxnet-victims-zero/6775/.
52Lin,Patrick,"EthicsofHackingBack.
SixArgumentsfromArmedConflicttoZombies",wieFN31,hier:S.
13.
FG03APNr.
01DigitaleGegenangriffeAugust201712anderenaktivierthat.
53InNotsituationenfehltinderRegelaberdasWissenumsolcheEigenschaftendesZielsystems.
DasBeispielAvalancheistinstruktiv,daCyber-An-greiferdieAngriffeinderRegelvonmehrerensoge-nanntenLaunch"-Plattformenstarten,dieu.
a.
auchTeileinesBotnetzesseinknnen.
WirdeinerdieserLaunch-ServerdurcheinenGegenangriffzerstrt,wechseltderAngreiferzumnchstenfallback"-Server.
DerVerteidigerverliertdadurchjedochdieKenntnisüberdiePositiondesAngreifersundweisomitnichtmehr,vonwodernchsteAngriffkom-menwird.
ImschlimmstenFallverschietderVertei-digerseinPulver"angegnerischenhoneypots"undoffenbartdamitdemGegnerseineGegenangriffsf-higkeiten.
54AlternativkanneinunbesonnenerGegen-schlagComputerzerstren,aufdenensichpotenziellwichtigeforensischeInformationenüberdenGegnerbefundenhaben.
ObdiesderFallist,hngtvomtech-nischenKnow-HowundderSorgfaltdesGegnersab.
EinegutausgestatteteAPT-GruppewirdresilienterseinalsScript-Kiddies.
Mitwemmanesaberzutunhat,istinzeitkritischenSituationenoftnichtklar.
DieKostenvonCyber-ArsenalenEsistalsokeinesfallsgewhrleistet,dasseinCyber-GegenangriffalsSchnellschussüberhaupteffektivist.
Umdieszugewhrleisten,müsstenPlanungenzumEinsatzvonhackback"-Verfahrenbeinhalten,dassmanfürgeeigneteunmittelbareReaktionenaufCyber-AttackendiemglichenSchwchen,potentiellenSi-cherheitslückenundZugriffspunkte(Angriffsvekto-ren")potentiellerGegnerbereitsimVorfeldkennt.
FolglichmüsstemanfüralleKontingenzeneinArse-nalvorkonfigurierterundaufbestimmteZielsystemeverschiedensterpolitischerGegenspielerangepassterCyber-Angriffswerkzeuge"oderzumindestpassenderSicherheitslückenhortenunddiesenBestandkontinu-ierlichaktualisieren.
AndersalsbeiphysischenKon-fliktenbruchtemanhiernichtnurnachrichten-dienstlicheInformationenüberdieSystemegeogra-phischerNachbarn,sondernInformationenvonallenpotenziellenundrelevantenstaatlichenundnicht-53.
"'Avalanche'NetworkDismantledinInternationalCyberOperation",Europol,January12,2016.
https://www.
europol.
europa.
eu/newsroom/news/"avalanche"-network-dismantled-in-international-cyber-operation.
54Nakashima,Ellen,"ItWasHand-to-HandCombat:DetailsofaCyberattackatState",in:WashingtonPost,04.
04.
2017.
https://www.
pressreader.
com/usa/the-washington-post/20170404/281694024627764.
staatlichenCyber-Aggressoren.
Damitwürdekonzep-tionellanstellederdefensivenSicherungdereigenenIT-Systemedie–mglicherweiseillegitime–AnalysefremderIT-SystemeinFriedenszeitensowiedieSamm-lungundGeheimhaltungvonSicherheitslückenindenFokusvon–gegenwrtiginDeutschlandohnehindünnaufgestellten–staatlichenCyber-Einheitentre-ten.
NebendempersonellenAufwandwredasAufstel-lenvonArsenalenmiteinsatzbereiterdigitalerGegen-schlags-Softwareenormkostspielig.
KomplexeSicher-heitslücken,sofernmansienichtdurcheigenenPer-sonalaufwandentdeckt,kostenjenachZielsystemHunderttausendeodergarMillionenvonEuro.
LauteinerStudiederRANDCorporationhaben0-day-SicherheitslückeneinedurchschnittlicheLebenszeitvon6,9Jahren.
Cyber-Arsenalemüsstenalsodauerhaftgeprüftunderneuertwerden,damitihreWirksamkeitgewhrleistetwerdenkann.
55NebenKosten-undPersonalfragenstelltsichauchdieFragederSicherheit.
DiejüngstenVault7-undShadowbroker-Leakszeigeneindrucksvoll,dassCyber-ArsenaleselbstvondenbestenGeheimdienstenderWeltnichtgeheimgehaltenwerdenknnen.
56Einst-malskostspieligeNSA-undCIA-AngriffstoolssindnunfreiimInternetverfügbarundsomitfaktischwertlos,daVerteidigermitdemWissenumdieseToolsihreSystemeschützenknnen.
DabeigibtesnebenderGefahr,dievonHackernausgeht,auchdieGefahrvonInsidern,diegeheimeInformationenwiez.
B.
überAngriffstoolspreisgeben.
LauteinerStudievonVerizonsindInsiderfür40ProzentderDaten-LeaksinRegierungsinstitutionenverantwortlich.
57DieBeispieleVault7undShadowbrokerzeigenzu-demeinanderesDilemmaderdigitalenRevolution:SindInformationenimInternetersteinmalverffent-licht,kanndieserProzessnichtmehrrückgngigge-machtwerden.
Youcannotstealbackasecret".
58AusdiesemGrundwirdauchdieIdeeeineshackbacks"zurRettungvonDatenvomamerikanischenDepart-55Ablon,Lilian;Bogart,Andy,"ZeroDays,ThousandsofNights.
TheLifeandTimesofZero-DayVulnerabilitiesandTheirExploits",RAND,2016.
56McLaughlin,Jenna,"TroveofStolenNSADataIs'Devastat-ing'LossforIntelligenceCommunity",in:ForeignPolicy,April17,2017.
http://foreignpolicy.
com/2017/04/17/trove-of-stolen-nsa-data-is-devastating-loss-for-intelligence-community/.
57"Verizon2017DataBreachInvestigationsReport",wieFN22,hier:S.
28.
58"IntotheGrayZone.
ThePrivateSectorandActiveDefenseAgainstCyberThreats",wieFN16,hier:S.
12.
FG03APNr.
01DigitaleGegenangriffeAugust201713mentofHomelandSecurityalswenigergiebigabge-tan.
59HackerkopiereninderRegelgestohleneInfor-mationenaufweitereRechner,verffentlichendieseimDarknetoderaufanderenKanlen(sieheWikil-eaks).
AuenpolitischeSignalwirkungNebendentechnischenProblemengehtmitBlickaufdiezunehmendeMilitarisierungdesInternets60vondenDebattenüber"hackback"-FhigkeitenundBe-fugnisseeinezweifelhafteauenpolitischeSignalwir-kungaus.
Wenngleichmeistbetontwird,dassdieseFhigkeitenausschlielichfürdefensiveZweckeimSinneeinerultimaratio-Lsungvorgesehensind,kannaustechnischerSichtdiereindefensiveAusrichtungsolcherHilfsmittelgegenüberandereninternationa-lenAkteurennichtglaubhaftbelegtwerden.
Geheim-diensteodermilitrischeDienstemitFhigkeitenzum"hackback"sindpraktischauchinderLagedieseproaktivundexplizitoffensivalsAngriffsmitteleinzu-setzen.
EineAbgrenzungvonreindefensiven""hackback"-Methoden,dieüberdiesenZweifelerhabensind,istnichtmglich.
DieSelbstverpflichtungeinesStaa-teszumausschlielichdefensivenEinsatzsolcherMittelistgegenwrtigaufgrundderfehlendeninter-nationalverbindlichenNormenzumstaatlichenEin-satzvonoffensivenCyber-Hilfsmittelnundinsbeson-dereangesichtsfehlenderVerifikationsmanahmenimCyberspacenichtnachvollziehbar.
Damitkonter-kariertdieseweitereAufrüstungimCyberspacedassicherheits-undstabilittsfrderndeKonzeptderver-trauensbildendenManahmen61imSinnederglaub-haftenVersicherungderAbwesenheitvonBedrohun-gen,sowiederEingrenzungdereigenenstaatlichenMglichkeiten,inKrisensituationenDruckdurchmilitrischeAktivittenausübenzuknnen.
Hackback"-AkteureNebenderFrage,obesnormativgerechtfertigtundoperativsinnvollist,zurückzuhacken",stelltsichzudemauchdieFrage,werfürmglicheGegenschlgeverantwortlichseinsollte.
InderLiteraturwerden59Vgl.
FN56.
60Exemplarisch:"TheCyberIndexInternationalSecurityTrendsandRealities",UNIDIR,Genf:2013,http://www.
unidir.
org/files/publications/pdfs/cyber-index-2013-en-463.
pdf.
61Neuneck,G.
,"KriegimInternetCyberwarinethischerRe-flexion",in:HandbuchFriedensethik,SpringerFachmedien,Wiesbaden:2017.
folgendeAkteurediskutiert:Strafverfolgungsbehr-den(wiez.
B.
FBIoderBundeskriminalamt),Geheim-dienste(z.
B.
NSA,Bundesnachrichtendienst,Verfas-sungsschutz),militrischeEinheiten(z.
B.
dasZentrumfürCyberoperationendesKommandosCyberundInformationsraum),privateCyber-Sicherheitsfirmen,multinationaleOrganisationen(NATOoderEU)oderunabhngigeundsomitvertrauenswürdigeDrittpar-teien(wieetwadasdeutscheBSI).
DieFrage,welcherdieserAkteureamgeeignetstenist,hngtvondenindividuellenFhigkeiten(Personal,Ressourcen,Know-HowundInfrastruktur)sowiedenrechtlichenImplikationenab.
HiergibteseinDilemmazwischenKompetenzenundLegalitt.
GenerellakzeptierendiemeistenStaaten,dassin-ternationaleundnationaleGesetzeimCyberspacegelten.
VieleStaatenhabensichaufinternationaleStandardsgeeinigt(BudapesterKonvention2004)undGesetzeerlassen(z.
B.
DeutschlandperStGB§202coderindenVereinigtenStaatenderUSComputerFraudandAbuseActvon1986),diedasunbefugteEindringeninfremdeIT-SystemeunterStrafestellen.
MitanderenWorten:das(inderRegelunbefugte)HackenvonRechnerninfremdenStaatenverletztindenmeistenFllenlokaleGesetze,egalobesvonStrafverfolgungsbehrden,PrivatunternehmenoderpatriotischenAPT-Gruppenausgeht.
Hackbacks"sindalsonachdergegenwrtigenRechtslageindenmeis-tenFllenillegal.
AllerdingsgibteshierverschiedenerechtlicheGrauzonen,etwabeiHacksdurchNach-richtendienstezurAuslandsüberwachung.
62Dassins-besondereNachrichtendienstemodernerIndustriena-tionenübertechnischeFhigkeitenzuhackbacks"verfügen,stehtmindestensseitdenLeaksvonEdwardSnowdenauerFrage.
AberauchPolizeibehrdenwiedasFBIentwickelnentsprechendeFhigkeiten.
ImRahmenregulrerStrafverfolungsprozesseistesPoli-zeibehrden,hufigaufRichtererlass,zudemerlaubt,inKernbereicheprivaterLebensführungeinzudrin-gen,wennesetwaumWohnraumüberwachunggeht.
BeimHackingbzw.
derQuellen-Telekommunikations-überwachungsindhnlicheKompetenzendenkbar,auchwennhierdieverfassungsrechtlichenImplikati-onensorgfltiggeprüftwerdenmüssen.
63Komplizier-terwirdesbeidenFragenvoninternationalenZu-62Bitton,Raphael,"TheLegitimacyofSpyingAmongNa-tions",in:AmericanUniversityInternationalLawReview29(2014):1010–65.
63Bundesverfassungsgericht,Urteilvom20.
April2016.
https://www.
bundesverfassungsgericht.
de/SharedDocs/Entscheidungen/DE/2016/04/rs20160420_1bvr096609.
html.
FG03APNr.
01DigitaleGegenangriffeAugust201714stndigkeitenundGegenschlgeninKrisensituatio-nen,wennalsoZielserverimAuslandstehen.
NebenderFragedesRechts,diehiernichtabschlie-enddiskutiertwerdenkann,stelltsichdieFragenachdenKompetenzen.
InsbesondereprivateCyber-SicherheitsfirmenhabenindenletztenJahreneineenormedigitaleExpertiseaufgebaut.
64HhereLhne,flexibleArbeitszeitenundeingenerellerFachkrfte-mangelführenindenmeistenStaatendazu,dasseinigederbestenHackerinderPrivatwirtschaftarbei-ten,whrendstaatlicheStellenenormeRekrutie-rungsschwierigkeitenhaben.
65EinigeCyber-Sicher-heitsfirmenwrentechnischdurchausinderLagezugezieltendigitalenGegenschlgen.
FirmensindinderRegeldiehufigstenZielevonCyber-AngriffenundbemerkendieseinderRegelauchzuerst.
InsofernwirddasArgumentvorgebracht,dassprivateUnter-nehmeninderRegelschneller,flexiblerundsomitbesseraufAngriffereagierenknnenalsstaatlicheStellen.
66Hunter-TeamsderdeutschenTelekomknn-tenzumBeispielimAngriffsfallvermutlichschnellerreagierenalsdiestaatlichenComputerEmergencyResponseTeamsdesnationalenCyberabwehrzent-rums.
DiesistaucheineFragederKapazitten:Staatli-cheBehrdenhabeninderRegelgarnichtgenugPersonal,umfürdieaktiveVerteidigungallerUnter-nehmenoderBetreiberkritischerInfrastruktureneinesLandeszusorgen,insbesonderewenndiesesi-multanvoneinemCyber-Angriffbetroffensind.
Ein-drucksvollisthierderHackdesBundestages,derauf-grundfehlenderRessourcenbeistaatlichenStellennursehrlangsambewltigtwerdenkonnte.
67Insofernargumentiereneinige,dassprivateUnternehmenentwederselbstbestimmte,nicht-destruktive"hackback"-KapazittenaufstellenoderzumindestvomfreienMarkteinkaufensollten.
68DazuwirddieAnalo-64Rabkin,Jeremy;Rabkin,Ariel,"HackingBackWithoutCrackingUp",in:AegisPaper1606(2016),S.
7.
65Biermann,Kai;Klormann,Sybille,FreiwilligeundNerds–WasistdasfüreineTruppe"In:ZeitOnline,04.
05.
2017.
http://www.
zeit.
de/digital/internet/2017-04/cyber-armee-bundeswehr-ursula-von-der-leyen.
66Baker,Stewart;Kerr,Orin;Volokh,Eugene,"TheHackbackDebate",SteptoeCyberblog,February11,2012.
http://www.
steptoecyberblog.
com/2012/11/02/the-hackback-debate/.
67Beuth,Patrick;Biermann,Kai;Klingst,Martin;Stark,Hol-ger,Bundestags-Hack:MerkelundderschickeBr",wieFN23.
68Rosenzweig,Paul;Bucci,StevenP.
;Inserra,David,"NextStepsforU.
S.
CybersecurityintheTrumpAdministration:Ac-tiveCyberDefense",in:Backgrounder3188(2017),S.
10.
gievonPrivatdetektivenoderprivatenSicherheitsfir-menbedient,welchefürbestimmteGegenschlgeautorisiertwerdenknnten.
HierzumüssteesabereinenrechtlichenRahmengeben,derFragenderVer-antwortlichkeitimSchadensfallregeltundlegiti-me/illegitimePraktikenunterbindet.
Diesistinsbe-sondereeinrechtlichkomplexesUnterfangen.
InderLiteraturwerdenhierzuverschiedeneModelledisku-tiert:etwaprivatepublicpartnerships"wiesieheutebeiAttributionsprozessenschonüblichsind,Lizenz-modelle,mitdenenderStaatadhocbestimmteUn-ternehmenautorisiertimeigenenNamenGegen-schlgeauszuführen69odergardieEinrichtunginter-nationalerOrganisationenimSinnederVereintenNationen.
Microsoftfordertgegenwrtigeineinterna-tionaleOrganisationzurAttributionvonCyber-Angriffen,welcheineinemnchstenSchrittauchfürGegenmanahmenbeauftragtwerdenknnte.
70GegenalldieseIdeensprechenArgumentederstaatlichenSouvernittunddesGewaltmonopols.
NachdemTallinn-Manual,welchesComputer-Netz-werkoperationenverrechtlicht,knnenCyber-AngriffeimSinnedesVlkerrechtsalsGewaltaktverstandenwerden.
WennnunalsoprivateFirmenCyber-Gegen-schlgeausführen,knntedieszuVigilantismusbzw.
einerSituationführen,diedemHobbes'schenNatur-zustandgleicht:jederhacktjeden.
DasistinsofernproblematischalsgemdemVlkerrechtStaatenfürjeglichesUnrecht,dasvonihremTerritoriumausgeht,verantwortlichsind(duedilligence").
71ImZweifels-fallwrealsoderStaatfürSchdenverantwortlich,dievomeigenenTerritoriumausgehen.
Dieswürdezumindestdafürsprechen,hackback"-KompetenzenbeistaatlichenStellenanzusiedeln.
EinweiteresProblemprivater"hackback"-AkteurebetrifftdieKontrollederselben.
DasProblemzeigtsichbereitsheutebeiCyber-Sicherheitsfirmen,diefürKundenCyber-Vorflleanalysieren.
Computer-Forensikund-AnalyseerfordertdieKenntnisintimsterDetailsderbetroffenenRechner.
Dieskannsowohldie69Rabkin,Jeremy;Rabkin,Ariel,"HackingBackWithoutCrackingUp",wieFN64,hier:S.
5.
70Charney,Scott;English,Erin;Kleiner,Aaron;Malisevic,Nemanja;McKay,Angela;Neutze,Jan;Nicholas,Paul,"FromArticulationtoImplementation.
EnablingProgressonCyber-securityNorms",Microsoft,2016.
https://www.
microsoft.
com/en-us/cybersecurity/content-hub/enabling-progress-on-cybersecurity-norms.
71Bendiek,Annegret,"SorgfaltsverantwortungimCyber-raum.
LeitlinienfüreineDeutscheCyber-Auen-undSicher-heitspolitik.
"Berlin:SWP-Studie2016/S03,Mrz2016.
FG03APNr.
01DigitaleGegenangriffeAugust201715PrivatsphrevonIndividuenbetreffenalsauchFir-mengeheimnisseundgeistigesEigentum.
Gleichesgiltbeihackbacks",soparadoxeszunchsterscheint.
UmdieGefahrdesMissbrauchsdurchhackback"-Firmenzumindern,müsstendiesestaatlichstrengkontrolliertwerden.
Obdieseffizientundwirkungs-vollgestaltetwerdenkann,isteineschwierigeFrage.
AusdiesemGrundwirddieIdeeeinesneutralenAkteursdiskutiert,welcherstaatlichzertifiziertundkontrolliertist,gleichzeitigaberkeinInteresseamgeistigenEigentumseinerKundenhat.
DieseneutraleInstitutionwürdesowohlvonstaatlicheralsauchprivaterSeitealsvertrauensvollwahrgenommen.
InDeutschlandverdientdasBundesamtfürdieSicher-heitderInformationstechnikdiesesVertrauen.
DieprimreAufgabedesBSIistdieVerteidigungundSicherungvonstaatlichenSystemen,etwadurchdefi-nierteStandardsundZertifizierungen,aberauchdurchCERT-Teams,awarenessraising",SchulungenundWeiterbildungen.
WürdedasBSIdieBefugniszuhackback"-Fhigkeitenerhalten,alsooffensivttigwerden,knntediesseinedefensiveFunktionschw-chen.
72ErstensgibteseinenausdenUSAbekanntenInte-ressengegensatzzwischenoffensivenunddefensivenOperationen:DerAngreiferbrauchtunsichereSyste-meundunbekannteSchwachstellenfürCyber-An-griffe.
DerVerteidigerwilldieseaberschlieen.
LiegenbeideFunktionenbeiderselbenBehrde,kanneinoffensiverBiasentstehen.
AnstattSicherheitslückenzuschlieen,werdendieseoffengehalten.
OffensiveCyber-FhigkeitenschwchenalsodiedefensiveMissi-onderBehrden.
73DaszweiteProblembetrifftdasVertrauen,welchesunabhngige,neutraleBehrdengenieen.
DeutscheFirmenmüssenz.
B.
daraufvertrauen,dassdieCyber-SicherheitszertifizierungenundProduktempfehlun-gendesBSIkeinegeheimenHintertürenoderabsicht-licheSchwachstellenbeinhalten.
WürdedasBSIoffen-sivttigwerden,stündewiebeidenGeheimdiensten72Tanriverdi,Hakan,"HackingBack:BSIdiskutiertdigitaleGegenschlge",in:SüddeutscheZeitungonline,21.
06.
2017.
http://www.
sueddeutsche.
de/digital/it-sicherheit-bundesbehoerde-diskutiert-ob-sie-zurueck-hacken-soll-1.
3554124.
73Sasso,Brendan,"TheNSAIsn'tJustSpyingonUs,It'sAlsoUnderminingInternetSecurity",in:TheAtlantic,April29,2014.
https://www.
theatlantic.
com/politics/archive/2014/04/the-nsa-isnt-just-spying-on-us-its-also-undermining-internet-security/457038/.
derVerdachtimRaum,dassdiesez.
B.
SchwachstelleninbereitszertifiziertenGertenmandatieren.
DieSnowden-Enthüllungenbesttigtenz.
B.
dasGerücht,dassdieNSASicherheitslückeninCISCO-Systemenmandatierthat,hnlichwiebeichinesischenDienstendavonausgegangenwird,dassdiesechinesischeHard-undSoftwaremitHintertürenversehen,weshalbsienichtinHochsicherheitsbereichenderUS-Regierungeingesetztwerden.
74DaVertrauenessenziellfürdieCyber-Sicherheitist,isteineorganisationaleTrennungvonoffensivenunddefensivenFhigkeitenzubevor-zugen.
AusdemgleichenGrundhatz.
B.
dieObama-AdministrationalseinederletztenihrerAmtshand-lungendieDoppelrollederNSAinCyber-Offensiveund-DefensiveinnerhalbdesUSCyberCommandsbeendet.
75NebendenProblemendesVertrauens,RechtsundderFhigkeitenmussallerdingsfestgehaltenwerden,dassdiezuvoraufgeworfenenFragenderzeitgemenDetektion,AttributionundangemessenenReaktionsowohlfürstaatlichealsauchnichtstaatlicheAkteuregleichermaengelten.
FazitDigitaleGegenschlgeinKrisensituationenzeigeneininteressantesDilemma.
ZwarmgenGegenschlgebeieinemgroangelegten,destruktivenCyber-Angriffvlkerrechtlichlegitimsein,umgrerenSchadenabzuwenden,dennochsindhackbacks"insolchenNotsituationenwahrscheinlichineffektivundmithherenKostenalsNutzenverbunden.
Esistunklar,obüberhauptrechtzeitigeinGegnerbestimmtwerdenkannoderobmannichtindieFalletapptunddasfalscheZiel,etwaeinKrankenhaus,trifft.
FindigeGegnerknnten,jemehrStaatendigitaleGegenschl-gelegitimieren,bewusstaufdieStrategiemenschli-cherSchutzschilde"setzen,umdieKostenfüreinenGegenschlagindieHhezutreiben.
DieGefahrvonKollateralschdenistinsbesonderebeiSchnellschüs-seninKrisenreaktionenhoch.
FerneristinKrisensitu-ationenoftmalsnichtgenugZeitumdasZielsystem,74Goodin,Dan,"CiscoConfirmsNSA-LinkedZerodayTargetItsFirewallsforYears",in:ArsTechnica,August18,2016.
https://arstechnica.
com/security/2016/08/cisco-confirms-nsa-linked-zeroday-targeted-its-firewalls-for-years/.
75Nakashima,Ellen.
"ObamaMovestoSplitCyberwarfareCommandfromtheNSA",in:WashingtonPost,23.
06.
2016.
https://www.
washingtonpost.
com/world/national-security/obama-moves-to-split-cyberwarfare-command-from-the-nsa/2016/12/23/a7707fc4-c95b-11e6-8bee-54e800ef2a63_story.
htmlutm_term=.
8e222a8b157c.
FG03APNr.
01DigitaleGegenangriffeAugust201716sofernmanesfindet,aufetwaigeFallenundhoneypots"zuanalysieren.
D.
h.
einGegenschlagbirgtauchdieGefahr,dieeigenenFhigkeitenzuoffenbaren.
Datenrettungsmissionensindebenfallsvonungewis-senErfolg,daCyber-KriminellegestohleneDatenver-vielfltigen.
InsgesamtistderNutzenvondigitalenGegenschlgenmitdemZiel,einSystemzuzerstren,eherzweifelhaft.
Andere,aktivereManahmenderVerteidigungwieHunter-Teams,dasUmleitenvonDDoS-Trafficoderhoneypots"erscheinendasinnvol-lerundrechtlichunproblematischer.
BeiBotnetzenundCyber-KriminalittsiehtdieSacheandersaus.
AusSichtvonStrafverfolgungsbehrdenundNachrich-tendienstensindhackbacks"mitdemZielderIn-formationsgewinnungdembloenZerstrenvonZielsystemenvorzuziehen.
AndererseitskannmansichinsolchenFllenseltenaufdasRechtzurSelbst-verteidigungberufen.
SolltenGegenschlgetrotzihreszweifelhaftenNut-zenslegitimiertwerden,müssensichpolitischeEnt-scheidungstrgerzudemGedankenüberVerantwort-lichkeiten,dieArtdesGegenschlagessowiedieRegelnundGrenzensolcherOperationenmachen.
ImSinneguterDiplomatiemagessinnvollsein,GegenschlgeüberdiplomatischeKanleanzukündigen,gleichzeitigvermindertdiesvermutlichihreWirksamkeit.
Ver-steckteGegenschlge,sofernsieattribuierbarsind,knnenexantebestehendediplomatischeKrisennochverschrfen.
DiesgiltinsbesonderebeidestruktivenGegenschlgen,welcheeinZielpermanentzerstren.
IndenUSAdürfensolcheSchlgemithohemEskala-tionspotenzialnuraufAnordnungdesPrsidentenausgeführtwerden.
Siedürfenauchnureineultimaratiosein,zudermangreift,wennsichanderediplo-matischeVerfahrenalswirkungslosherausstellen.
FernersolltebeisolchenGegenschlgeneinmultilate-ralerProzessvorgeschaltetsein,dersicherstellt,dassmannichtversehentlichwichtigeBeweismittelzer-strt,diefürstrafrechtlicheErmittlungenrelevantsind.
DadasInterneteinglobalesMediumist,solltestaatlichesVerhaltenauchzunehmendüberstaatlichabgesichertsein.
FG03APNr.
01DigitaleGegenangriffeAugust201717GlossarAdvancedPersistentThreat–EinsogenannterAd-vancedPersistentThreat(APT)isteinNetzwerk-Angriff,beidemsicheineunautorisiertePersonZu-griffaufeinNetzwerkverschafftundsichdortsolan-gewiemglichunentdecktaufhlt.
DieIntentioneinesAPT-AngriffsistinersterLinie,DatenzustehlenundkeinensonstigenSchadenanzurichten.
Zielsol-cherAPT-AngriffesindoftmalsOrganisationeninBereichen,beidenensehrwertvolleInformationenzuholensind.
"76Attributionsproblem–DasAttributionsproblembe-schreibtdieSchwierigkeitdenUrhebereinerCyber-Attackezuidentifizieren,dadieseoftmalsnurschwersichtbaredigitaleSpurenhinterlassenundBeweismit-telleichtzuflschen.
FernerkanntechnischeForensikinderRegelnurdieMaschineidentifizieren,vondereinAngriffausging,wasaberkeineRückschlüsseaufdenTter(Urheber)bzw.
dessenAuftraggeberoderSponsorzulsst(sozialebzw.
politischeAttribution).
77Beacon–BeaconssindCodeteiledieinsensitiveDo-kumenteeingebettetwerdenunddenBesitzerinfor-mieren,wennaufdieseDokumentezugegriffenwirdoderdieseausdemeigenenNetzwerkentwendetwer-den.
AggressiveBeaconsknnenselbstausSchadsoft-warefungierenunddenRechnerdesDiebesinfizierenumetwaInformationenandenBesitzerzuschi-cken.
"78Botnetz–EinBotnet,auchalsBotnetzoderZombie-Armeebekannt,isteineReihevonComputer,dieohnedasWissenihrerBesitzerdazuverwendetwerden,umDateien(inklusiveSpamundViren)überdasInternetanandereComputerzusenden.
EinsolcherComputerwirdoftmalsalsZombie"bezeichnet,imEndeffektistderComputereinRoboter(oderkurzBot"genannt),derdenAnweisungeneinesAuftraggebersfolgt,umSpamzuversendenoderandereRechnermitVirenzuinfizieren.
DiemeistenhiervonbetroffenenSystemesindprivateComputer.
"79ComputerIncident/EmergencyResponseTeams(CERT)–EinCERT-TeambestehtausEDV-Sicherheitsfachleuten,diebeiderLsungkonkreterIT-Sicherheitsvorfllemitwirken.
TypischeAnwendungs-gebietesinddasBekanntwerdenvonSicherheitslü-cken,dieVerbreitungneuartigerVirenodergezielteAngriffeaufServer.
DieExperten-TeamswirkenbeiderProblemlsungalsKoordinatorenmitoderbeschfti-76http://www.
searchsecurity.
de/definition/Advanced-Persistent-Threat-APT77https://www.
wired.
com/2016/12/hacker-lexicon-attribution-problem/78https://cchs.
gwu.
edu/sites/cchs.
gwu.
edu/files/downloads/CCHS-ActiveDefenseReportFINAL.
pdf79http://www.
searchsecurity.
de/definition/BotnetgensichganzallgemeinmitProblemlsungen.
DasZielderTtigkeitliegtinderVermittlungvonL-sungsanstzenundderWarnungvorSicherheitslü-cken.
"80CommandandControl(C2)Server–BeieinemCommandandControlServer(C&C-Server)handeltessichumdenzentralenComputer,derBefehleaneinsogenanntesBotnetabsetztundanschlieenddiezurückgesandtenBerichtederausgewhltenCompu-terempfngt.
"81DDoS–BeieinemDistributedDenial-of-Service(DDoS)-AngriffwirdeinegroeZahlinfiltrierterSys-temefürdenAngriffaufeineinzelnesZielmobilisiert.
DasZiel-SystemkanndiesenAnsturmmeistnichtbewltigenundistdadurchfürseineNutzernichtmehrerreichbar.
DieFluteingehenderNachrichtenerzwingteineAbschaltungdesSystemsundsomitauchderüberdiesesSystemfürlegitimeNutzerbe-reitgestelltenDienste.
"82DefacementvonWebsites-WebsiteDefacement(Beschmutzung)beschreibtdasBeschmierenoderdasVerndernvonInhaltenaufWebsites,umz.
B.
politi-scheBotschaftenzuverbreiten.
"83Honeypot(Honigtopf)–EinHoneypot,auchHonig-topfgenannt,isteinComputersystemimInternet,dasexplizitdaraufabzielt,Leuteanzulockenundeinzu-fangen",dieversuchen,infremdeComputersystemeeinzudringen.
DiesbeinhaltetunteranderemHacker,CrackerundsogenannteScriptKiddies.
"84HunterTeam(Jger)–JgerTeamsdurchsuchenproaktiveeigeneNetzwerkenachEindringlingenundversuchenderenModusOperandizuidentifizierenunddieBedrohungzuisolieren,solangesieimeige-nenNetzexistiert.
"85IntrusionDetectionSystem–EinIDS(IntrusionDetectionSystem)isteinGertodereineSoftware-Anwendung,dieeinenAdministratorimFalleeinerSecurity-oderPolicy-Verletzungbenachrichtigt.
DasSystemwirdauchaktiv,solltedasIT-Netzwerk(Infor-mationTechnology)desAdministratorsinirgendeineranderenFormkompromittiertsein.
"8680http://www.
egovernment-computing.
de/was-ist-ein-cert-a-579250/81http://www.
searchsecurity.
de/definition/Command-and-Control-Server-CC-Server82http://www.
searchsecurity.
de/definition/Distributed-Denial-of-Service-DDoS-Angriff83https://www.
trendmicro.
com/vinfo/us/security/definition/website-defacement84http://www.
searchsecurity.
de/definition/Honeypot-Honigtopf85http://www.
techrepublic.
com/article/cyber-threat-hunting-why-this-active-strategy-gives-analysts-an-edge/86http://www.
searchsecurity.
de/definition/Intrusion-FG03APNr.
01DigitaleGegenangriffeAugust201718Phishing–PhishingbezeichneteinenperE-MaildurchgeführtenBetrugsversuch,beidemderEmpfn-gereineechtwirkendeE-Mailerhlt.
AllerdingsistdieseprpariertundsollihnzurPreisgabepersnli-cherundfinanziellerDatenverleiten.
MeistscheinendieseE-MailsvonbekanntenundvertrauenswürdigenWebseitenzustammen.
"87Penetration&Payload.
Cyber-Angriffelaufeninmeh-rerenPhasenab.
DiePhasederPenetrationbeschreibtdasEindringenineinIT-SystemdurchdasAuskund-schaftenundAusnutzenvonSchwachstelleninderVerteidigung.
NachdemaufeinSystemzugegriffenwurdeunddieserZugriffdauerhaftgewhrleistetist,kanneinPayload,alsoeinekonkreteFunktion,wieetwakey-logging,Datendiebstahl,Rechtediebstahl,lschenoderwiping"vonDatenetc.
,ausgeführt.
SCADA–UnterSupervisoryControlandDataAcqui-sition(SCADA)verstehtmandasberwachenundSteuerntechnischerProzessemittelseinesComputer-Systems.
"88SocialEngineering–DerBegriffSocialEngineering"bezeichneteineVorgehensweise,beiderdieSchwach-stelleMenschausgenutztwird.
OftwerdendabeiMit-arbeitereinesUnternehmensmiteinemTricküberre-det,dienormalenSicherheitsvorkehrungenzuumge-henundsensibleInformationenpreiszugeben.
"89WateringHole–EinWatering-Hole-AngriffisteinSecurityExploit,beidemeinCyberkriminellereinebestimmteGruppeanEndanwendernanvisiert.
DabeiinfizierterWebsites,vondenenderAngreifernwei,dassdieMitgliederderZielgruppedieseimmerwiederaufsuchen.
DasZielistes,denComputereinesOpferszuinfizierenundsichdamitZugriffaufdasNetzwerkandessenArbeitsstellezuverschaffen.
"90Zero-Day(0-Day)–EineZero-Day-LückeisteineSchwachstelleimIT-SystemeinerFirma.
Diebetroffe-neSoftware,HardwareoderFirmwarelsstsichzu-nchstnichtdagegenschützen.
EinpotenziellerAn-griff(Zero-Day-Exploit)erfolgtamselbenTag,andemdieSecurity-Lückeentdecktwurde.
DieSchwachstellewirddaherZero-Day-Lückegenannt,dazwischenderEntdeckungdeserstenAngriffsundderSicherheitslü-ckeNullTageliegen.
"91Detection-System-IDS87http://www.
searchsecurity.
de/definition/Phishing88https://de.
wikipedia.
org/wiki/Supervisory_Control_and_Data_Acquisition89http://www.
searchsecurity.
de/definition/Social-Engineering90http://www.
searchsecurity.
de/definition/Watering-Hole-Angriff-Auflauern-an-der-Wasserstelle91http://www.
searchsecurity.
de/definition/Zero-Day-Luecke